Nieuws & blogs

Security Spotlight: NIS2 - Een noodzakelijke verandering of nóg meer ruis op de lijn?

25 mrt

Hoe verschilt NIS2 van andere compliance-normen?

Het doel van NIS2 is om de digitale weerbaarheid van organisaties te vergroten. In de basis is het een compliance-norm, vergelijkbaar met ISO27001, NEN en BIO. Maar hierin schuilt een probleem: al deze richtlijnen leggen slechts een minimale lat. In de praktijk betekent dit namelijk dat een organisatie NEN-gecertificeerd kan zijn, zonder daadwerkelijk iets met informatiebeveiliging te doen. Er wordt voldaan aan de eisen, het vinkje is gezet en daarmee lijkt de kous af. De vraag is echter in hoeverre de NIS2 dat gaat veranderen.

Voor organisaties die informatiebeveiliging wél als een doorlopend proces zien en dagelijks werken aan de verbetering daarvan, zal NIS2 weinig opschudding veroorzaken. Sterker nog, het kan juist extra handvatten bieden om de structuur en veiligheid nog beter te waarborgen. Kijk bijvoorbeeld naar bedrijven die al ISO27001-gecertificeerd zijn: zij beschikken over een risicoanalyse, een belangrijk onderdeel dat ook bij NIS2 zal terugkomen. NIS2 brengt een verscherping aan verplichtingen met zich mee zoals onder andere rapportageverplichting en toezicht door een nationale toezichthouder. Maar als je al voldoet aan een andere informatiebeveiligingsnorm heb je waarschijnlijk al een mooie fundering liggen.

Verandert het gedrag of blijft het bij beleid?

Een belangrijk verschil dat NIS2 introduceert is de bestuurlijke aansprakelijkheid. Hierbij komt er meer verantwoordelijkheid bij het management te liggen om informatiebeveiliging serieus te nemen. Wanneer een organisatie niet voldoet, kunnen bestuurders hierop worden aangesproken. Dat is geen loze dreiging. Het niet naleven kan namelijk mogelijk leiden tot financiële en juridische gevolgen. Hopelijk is dit de wake-up call die nodig is om cybersecurity structureel op de managementagenda te zetten.

De echte uitdaging zit niet alleen in de regelgeving, maar in de gedragsverandering- zowel bij medewerkers als bij het management. Zolang leidinggevenden geen duidelijk voorbeeld geven, zal de rest van de organisatie het belang van cybersecurity niet voelen. Zowel het beleid als technische maatregelen zijn uiteindelijk allemaal afhankelijk van de mensen die het binnen jouw organisatie vorm gaan geven.

Hoe groot de daadwerkelijke impact van NIS2 gaat zijn, zal de praktijk nog moeten uitwijzen. Ik ben benieuwd waar we over een jaar staan en welke verschuivingen er dan hebben plaatsgevonden binnen de organisaties die wij spreken. Wat ik in ieder geval positief vind, is dat (inter)nationale wetgeving steeds minder ruimte overlaat voor organisaties om cybersecurity te negeren. Ik zeg dit niet omdat ik het bedrijven lastig wil maken, maar omdat security awareness simpelweg onmisbaar is. De uitdaging is nu nog om dit voor organisaties behapbaar en toegankelijk te houden, want als het té complex wordt, missen we alsnog de kern van het probleem.

Dennie Spreeuwenberg

Dennie Spreeuwenberg, CEO van Awaretrain, is sinds 2004 een expert op het gebied van security awareness. Met ruim 20 jaar ervaring is hij gepassioneerd over informatiebeveiliging en deelt hij graag zijn kennis en inzichten over de laatste trends en ontwikkelingen in de branche.

LinkedIn